Freigeben über


Referenz zu Microsoft Sentinel-Entitätstypen

Dieses Dokument enthält zwei Informationssätze zu Entitäten und Entitätstypen in Microsoft Sentinel im Azure-Portal und Microsoft Sentinel im Defender-Portal.

  • Die Tabelle "Entitätstypen und Bezeichner" zeigt die verschiedenen Typen von Entitäten an, die in Warnungen und Vorfällen identifiziert werden können, sodass Sie sie nachverfolgen und untersuchen können. Die Tabelle zeigt auch für jeden Entitätstyp die verschiedenen Bezeichner, mit denen eine Entität identifiziert werden kann.
  • Der Abschnitt " Entitätsschema " zeigt die Datenstruktur und das Schema für Entitäten im Allgemeinen und für jeden Entitätstyp insbesondere an.

Wichtig

Microsoft Sentinel ist im Microsoft Defender-Portal allgemein verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz.

Ab Juli 2026 wird Microsoft Sentinel nur im Defender-Portal unterstützt, und alle verbleibenden Kunden, die das Azure-Portal verwenden, werden automatisch umgeleitet.

Es wird empfohlen, alle Kunden, die Microsoft Sentinel in Azure verwenden, mit der Planung des Übergangs zum Defender-Portal für die vollständige einheitliche Sicherheitsoperationserfahrung von Microsoft Defender zu beginnen. Weitere Informationen finden Sie unter Planen Ihres Wechsels zum Microsoft Defender-Portal für alle Microsoft Sentinel-Kunden.

Entitätstypen und Bezeichner

In der folgenden Tabelle sind die Entitätstypen aufgeführt, die von Microsoft Sentinel erkannt werden können, und die Attribute , die als Bezeichner für jeden Entitätstyp verwendet werden können.

Microsoft Sentinel erkennt Entitäten in Warnungen und Vorfällen, die durch entitätszuordnung in Analyseregeln erstellt werden. Es erkennt auch Entitäten, die bereits in Warnungen identifiziert wurden, die aus anderen Quellen aufgenommen wurden.

Sie können derzeit bis zu drei Bezeichner für eine bestimmte Entität verwenden, wenn Sie eine Entitätszuordnung in Microsoft Sentinel erstellen. Starke Bezeichner allein reichen aus, um eine Entität eindeutig zu identifizieren, während schwache Bezeichner dies nur in Kombination mit anderen Bezeichnern tun können. Erfahren Sie mehr über starke und schwache Bezeichner. Die meisten, aber nicht alle Bezeichner in dieser Tabelle können beim Erstellen von Entitätszuordnungen in Microsoft Sentinel verwendet werden (siehe Fußnoten).

Entitätstyp Bezeichner Starke Bezeichner Schwache Bezeichner
Konto Name
FullName *
NTDomain
DNS-Domäne
UPNSuffix
Sid
AadTenantId
AadUserId
PUID
IsDomainJoined
DisplayName *
ObjectGuid
Name und UPNSuffix
AADUserId
Sid **
Sid+Host**
Name+Host+NTDomain **
Name und NTDomain **
Name und DnsDomain
PUID
ObjectGuid
Name
Gastgeber DNS-Domäne
NTDomain
Rechnername
FullName *
NetBiosName
AzureID
OMSAgentID
OSFamily
Betriebssystem-Version
IsDomainJoined
HostName und NTDomain
HostName und DnsDomain
NetBiosName und NTDomain
NetBiosName und DnsDomain
AzureID
OMSAgentID
Rechnername
NetBiosName
Entitätstyp Bezeichner Starke Bezeichner Schwache IDs
IP Anschrift
AddressScope
Globale Adresse: Adresse**
Private Adresse: Adresse+AddressScope**

Private Adresse: Adresse**
URL URL URL (wenn absolute URL)** URL (wenn relative URL)**
Azure-Ressource
(AzureResource)
Ressourcen-ID Ressourcen-ID
Cloudanwendung
(CloudApplication)
AppId
Name
InstanzName
AppId
Name
AppId und InstanceName
Name und InstanceName
DNS-Auflösung
(DNS)
Domainname DomainName+DnsServerIp+HostIpAddress DomainName+HostIpAddress
Datei Verzeichnis
Name
Directory und Name
Dateihash
(FileHash)
Algorithmus
Wert
Algorithm und Value
Malware Name
Kategorie
Name und Category
Entitätstyp Bezeichner Starke Bezeichner Schwache IDs
Prozess Prozess-ID
Kommandozeile
ElevationToken
CreationTimeUtc
Host+ProcessID+CreationTimeUtc
Gastgeber+ParentProcessId+
   CreationTimeUtc und CommandLine
Host+ProcessId+
   CreationTimeUtc+ImageFile
Host+ProcessId+
   CreationTimeUtc+ImageFile+
    FileHash
ProcessId und CreationTimeUtc und
   CommandLine (ohne Host)
ProcessId und CreationTimeUtc und
    ImageFile (kein Host)
Registrierungsschlüssel
(RegistryKey)
Bienenkorb
Schlüssel
Hive und Key
Registrierungswert
(RegistryValue)
Name
Wert
Werttyp
Schlüssel+Name Name (ohne Key)
Sicherheitsgruppe
(SecurityGroup)
DistinguishedName
SID
ObjectGuid
DistinguishedName
SID
ObjectGuid
Briefkasten MailboxPrimaryAddress
Anzeigename
Upn
ExternalDirectoryObjectId
Risikostufe
MailboxPrimaryAddress
Entitätstyp Bezeichner Starke Bezeichner Schwache IDs
E-Mail-Cluster
(MailCluster)
NetworkMessageIds
CountByDeliveryStatus
CountByThreatType
CountByProtectionStatus
Bedrohungen
Abfrage
QueryTime
MailCount
IsVolumeAnomaly
`Source`
ClusterSourceIdentifier *
ClusterSourceType *
ClusterQueryStartTime *
ClusterQueryEndTime *
ClusterGroup *
Query und Source
E-Mail-Nachricht
(MailMessage)
Empfänger
URLs
Bedrohungen
Absender
P1Sender *
P1SenderDisplayName *
P1SenderDomain *
SenderIp
P2Sender *
P2SenderDisplayName *
P2SenderDomain *
ReceivedDate
NetworkMessageId
InternetMessageId
Betreff
BodyFingerprintBin1 *
BodyFingerprintBin2 *
BodyFingerprintBin3 *
BodyFingerprintBin4 *
BodyFingerprintBin5 *
AntispamDirection
DeliveryAction
Lieferort
Sprache*
ThreatDetectionMethods *
NetworkMessageId und Recipient
Übermittlungs-E-Mail
(SubmissionMail)
NetworkMessageId
Zeitstempel
Empfänger
Absender
SenderIp
Betreff
Typ des Berichts
SubmissionId
Übermittlungsdatum
Absender
SubmissionId und NetworkMessageId und
   Recipient und Submitter
Sentinel-Entitäten Entitäten Entitäten

Tabellennoten:

  • * Diese Bezeichner werden in der Liste der Bezeichner angezeigt, die in der Entitätszuordnung verwendet werden können, aber streng genommen sind sie nicht Teil des Entitätsschemas.
  • ** Diese Bezeichner gelten nur unter bestimmten Bedingungen als starke Bezeichner. Folgen Sie den Links des Sternchens, um die bedingungen anzuzeigen, die gelten, unter dem Eintrag der relevanten Entität im Abschnitt "Entitätsschemas" weiter unten.
  • Kursiv formatierte Bezeichnernamen (ohne Sternchen) stellen interne Entitäten dar, was bedeutet, dass ein Entitätstyp andere Entitätstypen als Attribute aufweisen kann (siehe abschnitt "Entitätsschemas"). Folgen Sie dem Link des Bezeichners, um das eigene Schema der internen Entität anzuzeigen.
  • Andere Entitäten können im Schema vorhanden sein, bei dem es sich um ein allgemeines Schema handelt, das neben Microsoft Sentinel viele Dinge unterstützt. In diesem Artikel sind nur die entitäten aufgeführt, die in Microsoft Sentinel verfügbar sind.

Entitätstypschemas

Im folgenden Abschnitt finden Sie eine ausführlichere Beschreibung der vollständigen Schemas für jeden Entitätstyp. Sie werden feststellen, dass viele dieser Schemas Links zu anderen Entitätstypen enthalten. Das Kontoschema enthält beispielsweise einen Link zum Hostentitätstyp, da ein Attribut eines Benutzerkontos der Host ist, auf dem es definiert ist. Diese als Attribute verwendeten Entitäten werden als „interne Entitäten“ bezeichnet und können nicht als Bezeichner für die Entitätszuordnung verwendet werden. Sie sind jedoch sehr nützlich, um ein umfassendes Bild der Entitäten auf Entitätsseiten und im Untersuchungsdiagramm zu erhalten.

Hinweis

Ein Fragezeichen nach dem Wert in der Spalte "Typ " gibt an, dass das Feld nullwertebar ist.

Liste der Entitätstypschemas

Konto

Entitätsname: Konto

Feld Typ Beschreibung
Art Schnur "Konto"
Name Schnur Der Kontoname. Dieses Feld sollte nur den Namen enthalten, ohne dass eine Domäne hinzugefügt wird.
FullName -- Nicht Teil des Schemas, aus Gründen der Abwärtskompatibilität mit der alten Version der Entitätszuordnung.
NTDomain Schnur Der NETBIOS-Domänenname, wie er im Warnungsformat angezeigt wird (domäne\benutzername).
Beispiele: Finanzen, NT AUTHORITY
DnsDomain Schnur Der vollqualifizierte DNS-Domänenname.
Beispiele: finance.contoso.com
UPNSuffix Schnur Das Suffix des Benutzerprinzipalnamens für das Konto. In vielen Fällen ist das UPN-Suffix auch der Domänenname.
Beispiele: contoso.com
Gastgeber Entität (Host) Der Host, der das Konto enthält, wenn es sich um ein lokales Konto handelt
Sid Schnur Die Sicherheits-ID des Kontos
AadTenantId Guid? Die Microsoft Entra-Mandanten-ID, falls bekannt.
AadUserId Guid? Die Objekt-ID des Microsoft Entra-Kontos, falls bekannt.
PUID Guid? Die Benutzer-ID des Microsoft Entra-Passports, falls bekannt.
IsDomainJoined Bool? Gibt an, ob es sich bei dem Konto um ein Domänenkonto handelt
DisplayName -- Nicht Teil des Schemas, aus Gründen der Abwärtskompatibilität mit der alten Version der Entitätszuordnung.
ObjectGuid Guid? Das objectGUID-Attribut ist ein Einzelwertattribut, bei dem es sich um den eindeutigen Bezeichner für das Objekt handelt, der durch Active Directory zugewiesen wird.
CloudAppAccountId Schnur Die AccountID in Warnungen vom CloudApp-Anbieter. Bezieht sich auf Konto-IDs in Drittanbieter-Apps, die in anderen Microsoft-Produkten nicht unterstützt werden.
IsAnonymized Bool? Gibt an, ob der Benutzername anonymisiert ist. Wahlfrei. Standardwert. false.
Bach STREAM Die Quelle der Ermittlungsprotokolle im Zusammenhang mit dem jeweiligen Konto Wahlfrei.

Starke Bezeichner einer Kontoentität

  • Name + UPNSuffix
  • AadUserId
  • Sid
    ** Dieser Bezeichner ist stark, solange das Konto nicht eines der integrierten Konten ist, die in der nachstehenden Notiz aufgeführt sind.
  • Sid + Host
    ** Wenn das Konto eines der integrierten Konten ist, die unten in der Notiz aufgeführt sind, ist die Hostkomponente erforderlich, um diesen Bezeichner zu einem starken zu machen.
  • Name + NTDomain
    ** Diese Kombination ist ein starker Bezeichner, wenn das Konto ein Domänenkonto ist, da NTDomain keine integrierte Domäne bzw. Arbeitsgruppe ist und sich vom Hostnamen unterscheidet. In diesem Fall handelt es sich auch ohne die Hostkomponente um einen starken Bezeichner.
  • Name + NTDomain + Host
    ** Die Hostkomponente ist erforderlich, um einen starken Bezeichner zu erstellen, wenn das Konto ein lokales Konto ist. Das bedeutet, dass die NTDomain eine integrierte Domäne bzw. Arbeitsgruppe ist.
  • Name + DnsDomain
  • PUID
  • ObjectGuid

Schwache Bezeichner einer Kontoentität

  • Name

Hinweis

Wenn die Kontoentität mithilfe des Namensbezeichners definiert ist und der Name-Wert einer bestimmten Entität eine der folgenden generischen, häufig integrierten Kontonamen ist, wird diese Entität aus der Warnung gelöscht.

  • ADMINISTRATOR
  • ADMINISTRATOR
  • SYSTEM
  • WURZEL
  • ANONYM
  • AUTHENTIFIZIERTER BENUTZER
  • NETZWERK
  • NULL
  • LOKALES SYSTEM
  • LOKALES SYSTEM
  • NETZWERKDIENST

Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern

Gastgeber

Entitätsname: Host

Feld Typ Beschreibung
Art Schnur "Host"
IpInterfaces List<Entity (IP)> Liste aller IP-Schnittstellen auf dem Hostcomputer
DnsDomain Schnur Die DNS-Domäne, zu der dieser Host gehört. Sollte das vollständige DNS-Suffix für die Domäne enthalten, sofern bekannt.
NTDomain Schnur Die DNS-Domäne, zu der dieser Host gehört.
HostName Schnur Der Hostname ohne das Domänensuffix.
NetBiosName Schnur Der Hostname (vor Windows 2000).
IoTDevice Entität (IoT-Gerät) Die IoT-Geräteentität (wenn dieser Host ein IoT-Gerät darstellt).
AzureID Schnur Die Azure-Ressourcen-ID der VM, falls bekannt.
OMSAgentID Schnur Die OMS-Agent-ID, wenn der OMS-Agent auf dem Host installiert ist.
OSFamily Aufzählung? Einer der folgenden Werte:
  • Linux (Englisch)
  • Fenster
  • Android
  • IOS
  • Mac
  • OSVersion Schnur Eine Freitextdarstellung des Betriebssystems.
    Dieses Feld soll bestimmte Versionen enthalten, die präziser als OSFamily sind, oder zukünftige Werte, die von der OSFamily-Enumeration nicht unterstützt werden.
    IsDomainJoined Bool Gibt an, ob dieser Host zu einer Domäne gehört

    Starke Bezeichner einer Hostentität

    • HostName + NTDomain
    • HostName + DnsDomain
    • NetBiosName + NTDomain
    • NetBiosName + DnsDomain
    • AzureID
    • OMSAgentID
    • IoTDevice

    Schwache Bezeichner einer Hostentität

    • Rechnername
    • NetBiosName

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern

    IP

    Entitätsname: IP

    Feld Typ Beschreibung
    Art Schnur "ip"
    Adresse Schnur Die IP-Adresse als Zeichenfolge (entweder in IPv4 oder IPv6).
    Beispiele:20.112.250.133, 2603:1030:b:3::152
    AddressScope Schnur Der Name des Hosts, Subnetzes oder privaten Netzwerks für private, nicht globale IP-Adressen. NULL oder leer für globale IP-Adressen (Standard).
    Beispiele:/27, 255.255.255.128
    Ort Geolokalisierung Der an die IP-Entität angefügte Geostandortkontext.

    Weitere Informationen finden Sie unter " Anreichern von Entitäten in Microsoft Sentinel mit Geolocation-Daten über DIE REST-API (öffentliche Vorschau)".
    Bach STREAM Die Quelle der Ermittlungsprotokolle im Zusammenhang mit der jeweiligen IP-Adresse Wahlfrei.

    Starke Bezeichner einer IP-Entität

    • Adresse
      Wenn es sich bei der IP-Adresse um eine globale Adresse handelt, ist der Adressbezeichner selbst ein eindeutiger, starker Bezeichner.
    • Adresse + AddressScope
      Für private/interne, nicht globale IP-Adressen ist die AddressScope-Komponente erforderlich, um dies zu einem starken Bezeichner zu machen.

    Schwache IDs einer IP-Entität

    • Adresse
      Der Adressbezeichner selbst ist ein schwacher Bezeichner, wenn die IP-Adresse eine private/interne, nicht globale IP-Adresse ist.

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern

    Schadsoftware

    Entitätsname: Schadsoftware

    Feld Typ Beschreibung
    Art Schnur "Schadsoftware"
    Name Schnur Der vom Anbieter (detection?) zugewiesene Schadsoftwarename, z. B. Win32/Toga!rfn.
    Kategorie Schnur Die vom Anbieter (detection?) zugewiesene Schadsoftwarekategorie, z. B. Trojaner.
    Dateien List<Entity (File)> Liste der verknüpften Dateientitäten, für die die Schadsoftware gefunden wurde. Kann die Dateientitäten inline oder als Verweis enthalten.
    Weitere Informationen zur Struktur finden Sie in der Dateientität.
    Abläufe List<Entity (Process)> Liste der verknüpften Prozessentitäten, für die die Schadsoftware gefunden wurde. Dies wird häufig verwendet, wenn die Warnung bei einer dateilosen Aktivität ausgelöst wird.
    Weitere Informationen zur Struktur finden Sie in der Prozessentität.

    Starke Bezeichner einer Schadsoftwareentität

    • Name + Kategorie

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern

    Datei

    Entitätsname: Datei

    Feld Typ Beschreibung
    Art Schnur 'Datei'
    Verzeichnis Schnur Der vollständige Pfad zur Datei.
    Name Schnur Der Dateiname ohne den Pfad (einige Warnungen enthalten möglicherweise keinen Pfad).
    AlternateDataStreamName Schnur Der Dateidatenstromname im NTFS-Dateisystem (NULL für den Hauptdatenstrom).
    Gastgeber Entität (Host) Der Host, auf dem die Datei gespeichert wurde.
    HostUrl Entität (URL) URL, von der die Datei heruntergeladen wurde
    (Marke des Webs).
    WindowsSecurityZoneType WindowsSecurityZone Windows-Sicherheitszone, zu der die URL gehört
    (Marke des Webs).
    ReferrerUrl Entität (URL) Referrer-URL der HTTP-Anforderung zum Herunterladen der Datei
    (Marke des Webs).
    SizeInBytes Lang? Die Größe der Datei in Bytes.
    FileHashes List<Entity (FileHash)> Die Dateihashes, die dieser Datei zugeordnet sind.

    Starke Bezeichner einer Dateientität

    • Name + Verzeichnis
    • Name + FileHash
    • Name + Verzeichnis + FileHash

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern

    Prozess

    Entitätsname: Prozess

    Feld Typ Beschreibung
    Art Schnur "Prozess"
    Prozess-ID Schnur Die Prozess-ID.
    CommandLine Schnur Die Befehlszeile, die zum Erstellen des Prozesses verwendet wird.
    ElevationToken Aufzählung? Das dem Prozess zugeordnete Erhöhungstoken.
    Mögliche Werte:
  • TokenElevationTypeDefault
  • TokenElevationTypeFull
  • TokenElevationTypeLimited
  • CreationTimeUtc DateTime? Die Zeit, zu der die Ausführung des Prozesses gestartet wurde.
    ImageFile Entität (Datei) Kann die Dateientität inline oder als Verweis enthalten.
    Weitere Informationen zur Struktur finden Sie in der Dateientität.
    Konto Entität (Konto) Das Konto, mit dem die Prozesse ausgeführt werden.
    Kann die Account-Entität inline oder als Verweis enthalten.
    Weitere Informationen zur Struktur finden Sie in der Kontoentität.
    ParentProcess Entität (Prozess) Die übergeordnete Prozessentität.
    Kann Teildaten enthalten, z. B. nur die PID
    Gastgeber Entität (Host) Der Host, auf dem der Prozess ausgeführt wurde.
    LogonSession Entität (HostLogonSession) Die Sitzung, in der der Prozess ausgeführt wurde.

    Starke Bezeichner einer Prozessentität

    • Host + ProcessId + CreationTimeUtc
    • Gastgeber + ParentProcessId + CreationTimeUtc + CommandLine
    • Host + ProcessId + CreationTimeUtc + ImageFile
    • Host + ProcessId + CreationTimeUtc + ImageFile.FileHash

    Schwache Bezeichner einer Prozessentität

    • ProcessID und CreationTimeUtc und CommandLine (und kein Host)
    • ProcessId + CreationTimeUtc + ImageFile (und kein Host)

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern

    Cloudanwendung

    Entitätsname: CloudApplication

    Feld Typ Beschreibung
    Art Schnur "Cloud-Anwendung"
    AppId Integer Veraltet, verwenden Sie stattdessen das Feld „SaasId“. Der technische Bezeichner der Anwendung. Mögliche Werte sind diejenigen, die in der Liste der Cloudanwendungs-IDs definiert sind. Dieser Wert ist optional. Er sollte nicht InstanceId enthalten.
    SaasId Integer Ersetzt das veraltete Feld „AppId“. Der technische Bezeichner der Anwendung. Mögliche Werte sind diejenigen, die in der Liste der Cloudanwendungs-IDs definiert sind. Dieser Wert ist optional. Er sollte nicht InstanceId enthalten.
    Name Schnur Der Name der verwandten Cloudanwendung. Dieser Wert ist optional.
    InstanceName Schnur Der benutzerdefinierte Instanzname der Cloudanwendung. Er wird häufig verwendet, um zwischen verschiedenen Anwendungen desselben Typs zu unterscheiden, die ein Kunde verwendet.
    InstanceId Integer Der Bezeichner der spezifischen Sitzung der Anwendung. Es handelt sich um eine nullbasierte laufende Zahl. Dieser Wert ist optional.
    Risiko AppRisk? Damit können Sie Apps nach Risikobewertung filtern, sodass Sie sich z.B. auf die Überprüfung von Apps mit hohem Risiko konzentrieren können. Werte wie „Low“, „Medium“, „High“ oder „Unknown“ sind möglich.
    Bach STREAM Die Quelle der Ermittlungsprotokolle im Zusammenhang mit der jeweiligen Cloud-App Wahlfrei.

    Starke Bezeichner einer Cloudanwendungsentität

    • AppId (ohne InstanceName)
    • Name (ohne InstanceName)
    • AppId + InstanceName
    • Name + InstanceName

    Liste der Cloudanwendungs-IDs

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern

    DNS-Auflösung

    Entitätsname: DNS

    Feld Typ Beschreibung
    Art Schnur "dns"
    DomainName Schnur Der Name des DNS-Eintrags, der der Warnung zugeordnet ist.
    IpAddress- List<Entity (IP)> Entitäten, die den aufgelösten IP-Adressen entsprechen.
    DnsServerIp Entität (IP) Eine Entität, die den DNS-Server darstellt, der die Anforderung auflöst.
    HostIpAddress Entität (IP) Eine Entität, die den DNS-Anforderungsclient darstellt.

    Starke Bezeichner einer DNS-Entität

    • DomainName + DnsServerIp + HostIpAddress

    Schwache Bezeichner einer DNS-Entität

    • DomainName + HostIpAddress

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern

    Azure-Ressource

    Entitätsname: AzureResource

    Feld Typ Beschreibung
    Art Schnur "azure-resource"
    Ressourcen-ID Schnur Die Azure-Ressourcen-ID der Ressource. Obligatorisch.
    SubscriptionId Schnur Die Abonnement-ID der Ressource.
    ActiveContacts Liste<ActiveContact> Aktive Kontakte, die der Ressource zugeordnet sind
    Ressourcen-Typ Schnur Der Typ der Ressource.
    ResourceName- Schnur Der Name der Ressource.

    Starke Bezeichner einer Azure-Ressourcenentität

    • Ressourcen-ID

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern

    Dateihash

    Entitätsname: FileHash

    Feld Typ Beschreibung
    Art Schnur 'filehash'
    Algorithmus Enumeration Der Hashalgorithmustyp. Obligatorisch. Mögliche Werte:
  • Unbekannt
  • MD5
  • SHA1
  • SHA256
  • SHA256AC
  • Wert Schnur Der Hashwert. Obligatorisch.

    Starke Bezeichner einer Dateihashentität

    • Algorithmus + Wert

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern

    Registrierungsschlüssel

    Entitätsname: RegistryKey

    Feld Typ Beschreibung
    Art Schnur "Registrierungsschlüssel"
    Bienenkorb Aufzählung? Einer der folgenden Werte:
  • HKEY_LOCAL_MACHINE
  • HKEY_CLASSES_ROOT
  • HKEY_CURRENT_CONFIG
  • HKEY_USERS
  • HKEY_CURRENT_USER_LOCAL_SETTINGS
  • HKEY_PERFORMANCE_DATA
  • HKEY_PERFORMANCE_NLSTEXT
  • HKEY_PERFORMANCE_TEXT
  • HKEY_A
  • HKEY_CURRENT_USER
  • Schlüssel Schnur Der Registrierungsschlüsselpfad.

    Starke Bezeichner einer Registrierungsschlüsselentität

    • Struktur + Schlüssel

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern

    Registrierungswert

    Entitätsname: RegistryValue

    Feld Typ Beschreibung
    Art Schnur "Registrierungswert"
    Gastgeber Entität (Host) Der Host, zu dem die Registrierung gehört
    Schlüssel Entität (RegistryKey) Die Registrierungsschlüsselentität.
    Name Schnur Der Name des Registrierungswerts.
    Wert Schnur Als Zeichenfolge formatierte Darstellung der Wertdaten.
    ValueType Aufzählung? Einer der folgenden Werte:
  • Schnur
  • Binär
  • DWord
  • Qword
  • MultiString
  • ExpandString
  • Keine
  • Unbekannt
    Werte sollten der Microsoft. Win32.RegistryValueKind-Enumeration entsprechen.
  • Starke Bezeichner einer Registrierungswertentität

    • Schlüssel + Name

    Schwache Bezeichner einer Registrierungswertentität

    • Name (ohne Schlüssel)

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern

    Sicherheitsgruppe

    Entitätsname: SecurityGroup

    Feld Typ Beschreibung
    Art Schnur "Sicherheitsgruppe"
    DistinguishedName Schnur Der Distinguished Name (DN) der Gruppe.
    SID Schnur Ein Einzelwertattribut, das die Sicherheits-ID (SID) der Gruppe angibt
    ObjectGuid Guid? Ein Einzelwertattribut, bei dem es sich um den eindeutigen Bezeichner für das Objekt handelt, der durch Active Directory zugewiesen wird

    Starke Bezeichner einer Sicherheitsgruppenentität

    • DistinguishedName
    • SID
    • ObjectGuid

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern

    URL

    Entitätsname: URL

    Feld Typ Beschreibung
    Typ Schnur 'url'
    URL Uri Eine vollständige URL, auf die die Entität verweist. Obligatorisch.

    Starke Bezeichner einer URL-Entität

    • URL (** Dieser Bezeichner ist stark, wenn die URL eine absolute URL ist.)

    Schwache Bezeichner einer URL-Entität

    • Url (** Dieser Bezeichner ist schwach, wenn die URL eine relative URL ist.)

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern

    IoT-Gerät

    Entitätsname: IoTDevice

    Feld Typ Beschreibung
    Art Schnur "iotdevice"
    IoTHub Entität (AzureResource) Die AzureResource-Entität, die den IoT Hub darstellt, zu dem das Gerät gehört.
    DeviceId Schnur Die ID des Geräts im Kontext des IoT Hub. Obligatorisch.
    DeviceName Schnur Der Anzeigename des Geräts.
    Besitzer Listenzeichenfolge<> Die Besitzer des Geräts
    IoTSecurityAgentId Guid? Die ID des Defender für IoT-Agents , der auf dem Gerät ausgeführt wird.
    DeviceType Schnur Der Typ des Geräts („Temperatursensor“, „Kühlung“, „Windrad“ usw.).
    DeviceTypeId Schnur Eine eindeutige ID, um jeden Gerätetyp gemäß dem Gerätetypschema zu identifizieren, da der Gerätetyp selbst ein Anzeigename ist und in Vergleichen nicht zuverlässig ist

    Mögliche Werte:
    Nicht klassifiziert = 0
    Sonstiges = 1
    Netzwerkgerät = 2
    Drucker = 3
    Audio und Video = 4
    Medien und Überwachung = 5
    Kommunikation = 7
    Smart Appliance = 9
    Workstation = 10
    Server = 11
    Mobil = 12
    Smart Facility = 13
    Industrie = 14
    Betriebsausrüstung = 15
    Quelle Schnur Die Quelle (Microsoft/Hersteller) der Geräteentität.
    SourceRef Entität (URL) Ein URL-Verweis auf das Quellelement, in dem das Gerät verwaltet wird.
    Hersteller Schnur Der Hersteller des Geräts.
    Modell Schnur Das Gerätemodell.
    OperatingSystem Schnur Das Betriebssystem, das das Gerät ausführt.
    IpAddress- Entität (IP) Die aktuelle IP-Adresse des Geräts.
    MacAddress Schnur Die MAC-Adresse des Geräts.
    Nics Entität (Nic) Die aktuellen NICs auf dem Gerät
    Protokolle Listenzeichenfolge<> Eine Liste der Protokolle, die vom Gerät unterstützt werden.
    SerialNumber Schnur Die Seriennummer des Geräts.
    Platz Schnur Der Standort des Geräts
    Zone Schnur Die Zone des Geräts innerhalb eines Standorts
    Sensor Schnur Der Sensor, der das Gerät überwacht
    Wichtigkeit Aufzählung? Einer der folgenden Werte:
  • Niedrig
  • Normal
  • Hoch
  • PurdueLayer Schnur Die Purdue-Schicht des Geräts
    IsProgramming Bool? Gibt an, ob das Gerät als Programmiergerät klassifiziert wurde
    IsAuthorized Bool? Gibt an, ob das Gerät als autorisiertes Gerät klassifiziert wurde
    IsScanner Bool? Gibt an, ob das Gerät als Scannergerät klassifiziert wurde
    DevicePageLink Entität (URL) Eine URL zur Geräteseite im Defender for IoT-Portal
    GerätUntertyp Schnur Der Name des Geräteuntertyps

    Starke Bezeichner einer IoT-Geräteentität

    • IoTHub + DeviceId

    Schwache Bezeichner einer IoT-Geräteentität

    • DeviceId -ID (ohne IoTHub)

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern

    Postfach

    Entitätsname: Postfach

    Feld Typ Beschreibung
    Art Schnur "Postfach"
    MailboxPrimaryAddress Schnur Die primäre Adresse des Postfachs.
    Anzeigename Schnur Der Anzeigename des Postfachs.
    UPN Schnur Der UPN des Postfachs.
    AadId Schnur Der Azure AD-Bezeichner des Postfachs des Benutzers
    RiskLevel RiskLevel? Die Risikostufe dieses Postfachs. Mögliche Werte:
  • Keine
  • Niedrig
  • Mittel
  • Hoch
  • ExternalDirectoryObjectId Guid? Der AzureAD-Bezeichner des Postfachs. Ähnlich wie AadUserId in der Account-Entität. Diese Eigenschaft ist jedoch für das Postfachobjekt auf der Office-Seite spezifisch.

    Starke Bezeichner einer Postfachentität

    • MailboxPrimaryAddress

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern

    E-Mail-Cluster

    Entitätsname: MailCluster

    Feld Typ Beschreibung
    Art Schnur "mail-cluster"
    NetworkMessageIds IList-Zeichenfolge<> Die E-Mail-Nachrichten-IDs, die Teil des Nachrichtenclusters sind.
    CountByDeliveryStatus IDictionary<String,Int> Anzahl von E-Mail-Nachrichten nach DeliveryStatus-Zeichenfolgendarstellung.
    CountByThreatType IDictionary<String,Int> Anzahl von E-Mail-Nachrichten nach ThreatType-Zeichenfolgendarstellung.
    CountByProtectionStatus IDictionary<String,long> Anzahl der E-Mail-Nachrichten nach Zeichenfolgendarstellung mit dem Status „Protection“
    CountByDeliveryLocation IDictionary<String,long> Anzahl der E-Mail-Nachrichten nach Zeichenfolgendarstellung mit dem Status „Delivery“
    Bedrohungen IList-Zeichenfolge<> Die Bedrohungen von E-Mail-Nachrichten, die Teil des Nachrichtenclusters sind.
    Frage Schnur Die Abfrage, mit der die Nachrichten des Nachrichtenclusters identifiziert wurden.
    QueryTime DateTime? Die Abfragezeit.
    MailCount Int? Die Anzahl der E-Mail-Nachrichten, die Teil des Nachrichtenclusters sind.
    IsVolumeAnomaly Bool? Gibt an, ob es sich um einen E-Mail-Cluster mit Volumenanomalie handelt
    Quelle Schnur Die Quelle des E-Mail-Clusters (Standardwert: O365 ATP)

    Starke Bezeichner einer E-Mail-Clusterentität

    • Abfrage + Quelle

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern

    E-Mail

    Entitätsname: MailMessage

    Feld Typ Beschreibung
    Art Schnur "E-Mail-Nachricht"
    Dateien IList-Entität<(Datei)> Die Dateientitäten der Anlagen dieser E-Mail-Nachricht.
    Empfänger Schnur Der Empfänger dieser E-Mail-Nachricht. Im Fall mehrerer Empfänger wird die E-Mail-Nachricht kopiert, und jede Kopie weist einen Empfänger auf.
    URLs IList-Zeichenfolge<> Die in dieser E-Mail-Nachricht enthaltenen URLs.
    Bedrohungen IList-Zeichenfolge<> Die in dieser E-Mail-Nachricht enthaltenen Bedrohungen.
    Absender Schnur Die E-Mail-Adresse des Absenders.
    SenderIP Schnur Die IP-Adresse des Absenders.
    ReceivedDate Datetime Das Empfangsdatum dieser Nachricht.
    NetworkMessageId Guid? Die Netzwerknachrichten-ID dieser E-Mail-Nachricht.
    InternetMessageId Schnur Die Internetnachrichten-ID dieser E-Mail-Nachricht.
    Betreff Schnur Der Betreff dieser E-Mail-Nachricht.
    AntispamDirection Aufzählung? Die Direktionalität dieser E-Mail-Nachricht. Mögliche Werte:
  • Unbekannt
  • Eingehend
  • Ausgehend
  • Innerhalb der Organisation (intern)
  • DeliveryAction Aufzählung? Die Übermittlungsaktion dieser E-Mail-Nachricht. Mögliche Werte:
  • Unbekannt
  • DeliveredAsSpam
  • Geliefert
  • Gesperrt
  • Ersetzt
  • DeliveryLocation Aufzählung? Die Übermittlungsort dieser E-Mail-Nachricht. Mögliche Werte:
  • Unbekannt
  • Posteingang
  • Junk-Ordner
  • Deletedfolder
  • Quarantäne
  • Extern
  • Fehler
  • Abgeworfen
  • Weitergeleitet
  • Kampagnen-ID Schnur Der Bezeichner der Kampagne, in der diese E-Mail-Nachricht vorhanden ist.
    VerdächtigeRecipients IList-Zeichenfolge<> Die Liste der Empfänger, die als verdächtig erkannt wurden
    ForwardedRecipients IList-Zeichenfolge<> Die Liste aller Empfänger in der weitergeleiteten E-Mail
    ForwardingType IList-Zeichenfolge<> Der Weiterleitungstyp der E-Mail, z. B. SMTP, ETR usw.

    Starke Bezeichner einer E-Mail-Nachrichtenentität

    • NetworkMessageId + Recipient

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern

    Übermittlungs-E-Mail

    Entitätsname: SubmissionMail

    Feld Typ Beschreibung
    Art Schnur 'EinreichungMail'
    SubmissionId Guid? Die Übermittlungs-ID.
    Übermittlungsdatum DateTime? Gemeldetes Datum und die Uhrzeit dieser Übermittlung.
    Einreicher Schnur Die E-Mail-Adresse des Übermittlers.
    NetworkMessageId Guid? Die Netzwerknachrichten-ID der E-Mail, zu der die Übermittlung gehört.
    Zeitstempel DateTime? Der Zeitstempel für den Nachrichtempfang (E-Mail).
    Empfänger Schnur Der Empfänger der E-Mail.
    Absender Schnur Der Absender der E-Mail.
    SenderIp Schnur Die IP-Adresse des Absenders.
    Betreff Schnur Der Betreff der Übermittlungs-E-Mail.
    ReportType Schnur Der Übermittlungstyp für die angegebene Instanz. Mögliche Werte sind „Junk“, „Phish“, „Malware“ oder „NotJunk“.

    Starke Bezeichner einer SubmissionMail-Entität

    • SubmissionId, Submitter, NetworkMessageId, Recipient

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern

    Sentinel-Entitäten

    Feld Typ Beschreibung
    Entitäten Schnur Eine Liste der in der Warnung identifizierten Entitäten. Diese Liste ist die Entitätsspalte aus dem SecurityAlert-Schema (siehe Dokumentation).

    Zurück zur Liste der Entitätstypschemas | Zurück zur Tabelle mit Entitätsbezeichnern

    Cloudanwendungsbezeichner

    In der folgenden Liste werden Bezeichner für bekannte Cloudanwendungen definiert. Der App-ID-Wert wird als Bezeichner der Cloudanwendungsentität verwendet.

    App-ID Name
    10026 DocuSign
    10395 Anaplan
    10489 Feld
    10549 Cisco Webex
    10618 Atlassian
    10915 cornerstone ondemand
    10921 Zendesk
    10980 Okta
    11042 Jive Software
    11114 Salesforce
    11161 Office 365
    11162 Microsoft OneNote Online
    11394 Microsoft Online Services
    11522 Yammer
    11599 Amazon Web Services
    11627 Dropbox
    11713 Expensify
    11770 G Suite
    12005 SuccessFactors
    12260 Microsoft Azure
    12275 Arbeitstag
    13843 LivePerson
    13979 Übereinstimmen
    14509 ServiceNow
    15570 Tableau
    15600 Microsoft OneDrive für Unternehmen
    15782 Citrix ShareFile
    17152 Amazonas
    17865 Ariba Inc.
    18432 Zscaler
    19688 Xactly
    20595 Microsoft Defender für Cloud-Apps
    20892 Microsoft SharePoint Online
    20893 Microsoft Exchange Online
    20940 Active Directory
    20941 Adallom CPanel
    22110 Google Cloud Platform
    22930 Gmail
    23004 Autodesk Fusion Lifecycle
    23043 Schlaff
    23233 Microsoft Office Online
    25275 Microsoft Skype für Unternehmen
    25988 Google Docs
    26055 Microsoft 365 Admin Center
    26060 OPSWAT Getriebe
    26061 Microsoft Word Online
    26062 Microsoft PowerPoint Online
    26063 Microsoft Excel Online
    26069 Google Drive
    26206 Workiva
    26311 Microsoft Dynamics 365
    26318 Microsoft Entra-ID
    26320 Microsoft Office Sway
    26321 Microsoft Delve
    26324 Microsoft Power BI
    27548 Microsoft Forms
    27592 Microsoft Flow
    27593 Microsoft PowerApps
    28353 Workplace by Facebook
    28373 CAS-Proxy-Emulator
    28375 Microsoft Teams
    32780 Microsoft Dynamics 365
    33626 Googeln
    34127 Microsoft AppSource
    34667 HighQ
    35395 Microsoft Dynamics Talent

    Nächste Schritte

    In diesem Dokument haben Sie die Entitätsstruktur, Bezeichner und das Schema in Microsoft Sentinel kennengelernt.

    Erfahren Sie mehr über Entitäten und Entitätszuordnungen.